Los defectos en el tratamiento datos de los pacientes incluidos en los expedientes médicos son la causa de constantes denuncias interpuestas ante la Agencia Española de Protección de Datos.
La gran mayoría de centros médicos cumplen con la obligación inscripción de ficheros. No obstante, el resto de obligaciones de la ley orgánica de protección de datos personales (LOPD) y su correcta implantación en el día a día son la asignatura pendiente en los centros sanitarios españoles (públicos y privados).
Ello ha supuesto un aumento en el número de denuncias LOPD contra centros sanitarios. Los datos personales en los centros sanitarios deben ser catalogados como especialmente protegidos, ya que las medidas de seguridad que se deben tomar para protegerlos son de nivel alto.
La denuncias ante la AEPD hacen referencia, en su gran mayoría, a la difusión en internet de datos de pacientes, expedientes médicos en la vía pública, archivo de documentación clínica en áreas no seguras, pérdida de historiales, uso de datos para finalidades no autorizadas por los pacientes y cesión indebida de datos a terceros.
El uso ilegal de los datos de personas físicas puede propiciar no sólo sanciones económicas, sino también procesos judiciales penales y civiles. En este sentido, puede ponerse como ejemplo una reciente sentencia de inhabilitación de un médico por nueve años, y una pena de cárcel de tres años.
La LOPD no es la única vía sancionadora pues al vulnerar el derecho a la intimidad de los pacientes podría acudirse a la vía penal y a la compensación por la vía de responsabilidad civil.